Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag

Nr. 6 NOTA NAAR AANLEIDING VAN HET VERSLAG

Ontvangen 22 januari 2026

Met belangstelling heb ik kennisgenomen van het verslag van de vaste commissie voor
Justitie en Veiligheid op het wetsvoorstel Wet weerbaarheid kritieke entiteiten (hierna:
Wwke). Dit wetsvoorstel strekt tot de uitvoering van de Richtlijn (EU) 2022/2557 van
het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid
van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (hierna:
CER-richtlijn).1 Ik dank de commissie voor het binnen een korte periode uitbrengen van het verslag
en dank de leden van de fracties voor de gestelde vragen, die ik in deze nota beantwoord.
De vragen en opmerkingen uit het verslag zijn integraal opgenomen in cursieve tekst
en de beantwoording daarvan in gewone typografie. Ik hoop de vragen genoegzaam te
hebben beantwoord en hoop op een spoedige voortzetting van de behandeling van dit
wetsvoorstel. Tot slot merk ik op dat ik tevens een nota van wijziging aanbied.

I. Algemeen

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van het voorstel voor
de Wet weerbaarheid kritieke entiteiten (hierna: het wetsvoorstel). Deze leden zullen
hun vragen en opmerkingen uiteenzetten op volgorde van de memorie van toelichting.
Wegens de overlap met de Cyberbeveiligingswet (hierna: Cbw), zullen deze leden hun
inbreng richten op de raakvlakken tussen het wetsvoorstel en de Cbw.

De leden van de VVD-fractie hebben met interesse kennisgenomen van het wetsvoorstel.
Deze leden benadrukken het belang van het beschermen van onze kritieke entiteiten
– zeker in een tijd waarin geopolitieke spanningen, hybride dreigingen en cyberaanvallen
steeds vaker voorkomen – en danken de regering en ambtenaren die betrokken zijn geweest
bij de totstandkoming van het wetsvoorstel. Zij stellen nog enige vragen.

De leden van de NSC-fractie hebben met belangstelling kennisgenomen van het wetsvoorstel.
Deze leden onderstrepen de noodzaak van het versterken van de (civiele) weerbaarheid
en zijn het dan ook van harte eens met het doel van deze wet om de weerbaarheid van
essentiële diensten tegen risico’s en dreigingen zo veel mogelijk te vergroten. Zij
hebben nog een aantal vragen over het wetsvoorstel.

De leden van de BBB-fractie hebben kennisgenomen van het wetsvoorstel. Deze leden
hebben hier nog een aantal vragen over.

De leden van de CDA-fractie hebben met interesse kennisgenomen van het wetsvoorstel.
Deze leden maken graag van de gelegenheid gebruik om enkele vragen te stellen aan
de regering over onderhavig wetsvoorstel.

De leden van de SP-fractie hebben het wetsvoorstel gelezen en hebben hier nog enkele
vragen over.

De leden van de ChristenUnie-fractie hebben kennisgenomen van het onderhavige wetsvoorstel.
Deze leden hebben naar aanleiding van dit wetsvoorstel nog wel enkele vragen.

1. Inleiding

De leden van de VVD-fractie lezen in de inleiding van de memorie van toelichting van
het wetsvoorstel dat de lidstaten van de Europese Unie (hierna: EU) uiterlijk op 17 oktober
2024 aan de Critical Entities Resilience Directive (hierna: CER-richtlijn) moeten
voldoen door de richtlijn in nationale regelgeving om te zetten. Deze leden betreuren
dat het niet is gelukt de CER-richtlijn tijdig te implementeren. Deze leden vragen
de regering waarom de implementatie van de CER-richtlijn niet tijdig heeft plaatsgevonden,
welke knelpunten er zijn geweest bij de implementatie van de richtlijn en wat de (financiële)
gevolgen zijn van deze niet-tijdige implementatie.

De Nederlandse inspanningen zijn er altijd op gericht geweest de omzetting van de
CER-richtlijn naar nationale wetgeving tijdig en spoedig af te ronden. Het tot stand
brengen van de vereiste wetgeving heeft helaas meer tijd gekost, waardoor het niet
is gelukt om de implementatie tijdig af te ronden. Dit komt doordat de omzetting naar
nationale wetgeving een omvangrijk en complex traject is, onder meer door de toepasselijkheid
van de CER-richtlijn op een groot aantal sectoren en de introductie van nieuwe verplichtingen
voor organisaties. Daarbij is de omzetting naar nationale wetgeving gedaan met grote
zorgvuldigheid vanwege de aanzienlijke impact op vele Nederlandse organisaties. Vanwege
die impact is uit een oogpunt van zorgvuldige voorbereiding er ook voor gekozen om
het wetsvoorstel open te stellen voor internetconsultatie, hoewel dit bij implementatiewetsvoorstellen
niet verplicht is. De internetconsultatie heeft waardevolle reacties opgeleverd en
heeft onder meer geleid tot aanpassingen van het wetsvoorstel en aanvullingen in de
bijbehorende toelichting.

Nederland is overigens niet de enige lidstaat die de CER-richtlijn niet tijdig heeft
omgezet. Volgens het overzicht op de officiële website van de Europese Unie hebben
op het moment van schrijven naast Nederland ook 10 andere lidstaten de CER-richtlijn
nog niet volledig geïmplementeerd, waaronder Duitsland, Frankrijk en Spanje.2 Uiteraard is dit voor Nederland geen excuus om zelf ook niet tijdig te implementeren,
maar dit geeft wel een indicatie van de complexiteit en de haalbaarheid van een tijdige
implementatie van de CER-richtlijn.

De niet-tijdige implementatie van de CER-richtlijn door Nederland heeft gevolgen voor
de hoogte van de boete die aan Nederland kan worden opgelegd wegens niet-tijdige implementatie
van de CER-richtlijn. De hoogte van die boete hangt namelijk onder meer af van de
duur van de inbreuk, meer concreet: hoe lang Nederland te laat is met het implementeren
van de CER-richtlijn.

Voor wat betreft de gevolgen van het ontbreken van nationale wet- en regelgeving waarin
de CER-richtlijn is geïmplementeerd wordt erop gewezen dat de CER-richtlijn veel raakvlakken
heeft met het staande beleid van de Aanpak vitaal. De regering benadrukt dat de weerbaarheidsdoelen
in de Aanpak vitaal al wel beleidsmatig nagestreefd worden. Veel departementen hebben
eerder al vitale aanbieders aangewezen en werken continu samen met deze partijen aan
het verhogen van hun weerbaarheid. Ook is er in de afgelopen maanden extra inzet gepleegd
om vitale processen weerbaarder te maken in het kader van het traject Maatschappelijke weerbaarheid tegen militaire en hybride dreigingen. Dit maakt dat er tijdens de omzetting van de CER-richtlijn in nationale wet- en
regelgeving continu aandacht is geweest voor het versterken van de weerbaarheid van
de Nederlandse vitale sectoren.

De leden van de NSC-fractie hebben kennisgenomen van het stelsel dat dit wetsvoorstel
vormt ter vergroting van de weerbaarheid van kritieke entiteiten. Deze leden merken
op dat weerbaarheid deels bestaat uit het preventieve aspect, bijvoorbeeld voorkomen
dat een crisis of incident verstorend kan werken, maar ook het aspect omvat dat de
situatie na een eventuele crisis of eventueel incident zo snel mogelijk kan worden
hersteld. Vitale processen moeten na een crisis of incident weer zo snel mogelijk
in orde kunnen zijn. Kan de regering aangeven of beide aspecten in voldoende mate
terugkomen in het wetsvoorstel? Of ligt het zwaartepunt met name bij preventie? Zo
ja, waarom?

Dit wetsvoorstel regelt de weerbaarheid van kritieke entiteiten en de essentiële diensten
die zij verlenen in brede zin, en betreft dus zowel het preventieve aspect als het
reactieve aspect. Op grond van artikel 1 Wwke luidt de definitie van weerbaarheid
als volgt: het vermogen van een kritieke entiteit om een incident te voorkomen, te
beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te
reageren op of zich aan te passen aan en te herstellen van een incident. Deze definitie
van weerbaarheid volgt uit artikel 2 CER-richtlijn, waarin is bepaald wat onder weerbaarheid
in de zin van de CER-richtlijn moet worden verstaan. Uit de definitie van weerbaarheid
volgt dat naast de aspecten van het voorkomen, beperken en beschermen, ook expliciet
de aspecten van het beheersen, reageren, aanpassen en herstellen onderdeel van dit
wetsvoorstel zijn. Al deze aspecten komen ook terug in de zorgplicht (artikel 15 Wwke).
Hierbij wijst de regering onder meer op artikel 15, eerste lid, onderdelen a en b,
Wwke, die zien op het nemen van maatregelen om te voorkomen dat incidenten zich voordoen.
Daarin zit het preventieve aspect stevig verankerd. De regering wijst daarnaast op
artikel 15, eerste lid, onderdelen c en d, Wwke, die zien op het bestrijden van de
gevolgen van incidenten en het herstellen van incidenten. Daarmee wordt het reactieve
aspect geborgd.

De leden van de BBB-fractie stellen dat de EU in 2022 de CER-richtlijn heeft vastgesteld.
Deze richtlijn heeft als doel ervoor te zorgen dat organisaties die essentieel zijn
voor de samenleving, beter beschermd zijn tegen fysieke dreigingen zoals sabotage,
terrorisme, natuurrampen, pandemieën of andere verstoringen. Dit wetsvoorstel zet
deze richtlijn om in Nederlandse wetgeving.

De leden van de BBB-fractie stellen dat het wetsvoorstel van toepassing is op organisaties
die essentiële diensten leveren, zoals aanbieders in de volgende sectoren: energievoorziening,
drinkwater, gezondheidszorg, transport, bankwezen, digitale infrastructuur en voedselvoorziening.
Het wetsvoorstel is niet van toepassing op instanties die primair taken verrichten
op het terrein van nationale veiligheid, defensie, politie of rechtshandhaving. Ook
wordt overlap met de Cbw vermeden. Daarmee wordt beoogd dubbele verplichtingen en
tegenstrijdige regelgeving te voorkomen.

De leden van de BBB-fractie stellen dat een entiteit door de bevoegde Minister kan
worden aangewezen als kritieke entiteit wanneer zij een of meer essentiële diensten
verleent, gevestigd is in Nederland en haar infrastructuur geheel of gedeeltelijk
in Nederland ligt, en een incident bij de organisatie aanzienlijke verstorende effecten
kan hebben. Bij de beoordeling of sprake is van een aanzienlijk verstorend effect
worden onder andere het aantal afhankelijke gebruikers, de ernst en duur van mogelijke
gevolgen en het marktaandeel meegewogen. Wanneer een entiteit als kritieke entiteit
wordt aangemerkt door de Minister, zitten hier vervolgens drie belangrijke verplichtingen
aan. Allereerst moeten zij periodiek een eigen risicobeoordeling uitvoeren waarin
zij relevante risico’s en kwetsbaarheden in kaart brengen. Vervolgens zijn zij gehouden
aan een zorgplicht, die inhoudt dat zij passende en evenredige maatregelen moeten
treffen om hun continuïteit en fysieke veiligheid te waarborgen. Daarbij gaat het
om een breed spectrum aan maatregelen, variërend van beveiliging van gebouwen en technische
installaties tot bedrijfscontinuïteitsplannen, crisismanagement, ketenbeheer en personeelsscreening.
Ten slotte geldt er een meldplicht: incidenten die de essentiële dienstverlening aanzienlijk
verstoren of dreigen te verstoren, moeten binnen 24 uur worden gemeld bij de bevoegde
autoriteit. Voor sommige sectoren, zoals het bankwezen, de financiële markten en de
digitale infrastructuur, gelden specifieke uitzonderingen, omdat daar al Europese
kaders voor zijn. Daarnaast is er de mogelijkheid tot ontheffing voor entiteiten die
nauw samenhangen met nationale veiligheids- of defensietaken.

De leden van de BBB-fractie zijn over het algemeen positief gestemd over het wetsvoorstel.
Het is van cruciaal belang dat ook bedrijven hun verantwoordelijkheid nemen in een
instabiele wereld. Deze leden maken zich echter wel zorgen over de toenemende regeldruk
voor kleinere bedrijven. Kan de regering uitleggen op hoeveel midden- en kleinbedrijven
deze wet betrekking zal hebben? En kan de regering daarbij ook uitleggen in hoeverre
de regeldruk een beslag gaat leggen op hen?

Bij de omzetting van de CER-richtlijn in nationale wet- en regelgeving is uitvoerig
oog geweest voor de regeldruk voor bedrijven. Om de regeldruk voor het midden- en
kleinbedrijf (hierna: mkb) vooraf goed mee te kunnen wegen, is een mkb-toets uitgevoerd.
Hieruit kwam steun voor de risicogebaseerde systematiek van de Wwke naar voren. Bedrijven
kunnen hierdoor bijvoorbeeld zelf kiezen welke systematiek of methode ze gebruiken
bij het in kaart brengen van hun risico’s. Hierdoor kunnen zij overlappende verplichtingen
onder verschillende (sectorale) wettelijke kaders, zoals het uitvoeren van de risicobeoordeling
in het kader van de Cyberbeveiligingswet (hierna: Cbw) en de Wwke, met elkaar combineren
waardoor zij minder administratieve handelingen hebben.

De vakdepartementen zijn momenteel bezig met de voorbereidingen voor de risicobeoordelingen,
maar welke bedrijven onder het toepassingsbereik van de Wwke zullen vallen en hoeveel
daarvan behoren tot het mkb, zal pas duidelijk worden nadat de sectorale risicobeoordelingen
volledig zijn uitgevoerd en vervolgens entiteiten zijn aangewezen als kritieke entiteit
in de zin van de Wwke.

De leden van de SP-fractie onderschrijven het belang van de weerbaarheid van kritieke
entiteiten en essentiële diensten. Tegelijkertijd delen deze leden de zorgen van de
Afdeling advisering van de Raad van State (hierna: de Afdeling) over de soms onduidelijke
taakverdeling tussen de vakministers en de zelfstandige bestuursorganen. Kan de regering
aangeven hoe zij de taakafbakening wat betreft het toezicht zal vormgeven? De Afdeling
adviseert om dit duidelijk in kaart te brengen en te regelen. Toch kiest de regering
slechts voor samenwerkingsafspraken: waarom is dit het geval?

In haar advies op dit wetsvoorstel heeft de Afdeling advisering van de Raad van State
aandacht voor de bevoegdheden van en taakuitoefening door de vakministers op grond
van de Wwke en de bevoegdheden van en taakuitoefening door zelfstandige bestuursorganen
op grond van andere wetgeving ten aanzien van dezelfde entiteiten. Hierover heeft
de Afdeling geadviseerd om in kaart te brengen welke zelfstandige bestuursorganen
belast zijn met toezichts- en handhavingstaken gericht op veiligheid, en om aan te
geven hoe voorkomen wordt dat de uitoefening van deze taken in de praktijk tot problemen
leidt, doordat dit overlapt met taken die zijn toebedeeld via de Wwke. De regering
reflecteert hierop als volgt.

In artikel 8, eerste en tweede lid, Wwke zijn de vakministers aangewezen als de bevoegde
autoriteit voor kritieke entiteiten. Op grond van artikel 8, derde lid, onderdeel a,
Wwke heeft de bevoegde autoriteit, en dus de vakminister, de taak om te zorgen voor
de bestuursrechtelijke handhaving van het bepaalde bij of krachtens de Wwke.3 De vakministers wijzen bij besluit de ambtenaren aan die zijn belast met het toezicht
op de naleving van het bepaalde bij of krachtens de Wwke, zie artikel 36, eerste lid,
Wwke.4 In alle gevallen geldt dat de toezichts- en handhavingstaken worden uitgeoefend onder
gezag en verantwoordelijkheid van de bevoegde autoriteit (de vakminister).

Een entiteit kan onder meerdere wettelijke kaders vallen, zoals de Wwke en andere
wetgeving, en daardoor te maken hebben met verplichtingen voortvloeiend uit verschillende
wettelijke kaders en toezichthoudende ambtenaren van meerdere instanties. De regering
kiest ervoor om het toezicht in het kader van de Wwke naast het toezicht van zelfstandige
bestuursorganen op grond van hun wettelijk kader te laten bestaan en acht het niet
mogelijk om a priori met een exclusieve taakafbakening te werken waarin overlap in dat toezicht niet bestaat.
Dit maakt het van belang, zoals ook is aangegeven in het nader rapport, dat afstemming
plaatsvindt tussen (de aangewezen ambtenaren van) de hiervoor bedoelde verschillende
instanties en dat samenwerkingsafspraken worden gemaakt om de doeltreffendheid en
doelmatigheid van toezicht te waarborgen. Zoals ook in het nader rapport is aangegeven
denkt de regering hierbij onder meer aan afspraken over samenloop van toezicht op
eenzelfde entiteit, het voorkomen van onevenredige toezichtslasten en uitwisseling
van gegevens. De regering acht het van belang dat in de samenwerkingsafspraken voor
ogen wordt gehouden dat verschillende wetten in het veiligheidsdomein verschillende
aspecten van veiligheid regelen, geredeneerd vanuit wettelijk verschillende gedefinieerde
belangen. De ambtenaren van de hiervoor bedoelde verschillende instanties zullen derhalve
elk op basis van hun eigen wettelijke grondslag hun taken uitvoeren en overlap in
bevoegdheden doet geen afbreuk aan hun bevoegdheden en verantwoordelijkheden en die
van het voor het toezicht verantwoordelijke bestuursorgaan.

De leden van de SP-fractie vinden, evenals de Afdeling, dat toezicht op ministeries
die zelf als kritieke entiteiten worden aangewezen, onafhankelijk moet zijn. Deze
leden zijn er niet van overtuigd dat het toezicht door de Minister van Binnenlandse
Zaken en Koninkrijksrelaties voldoende onafhankelijk is. Kan de regering aangeven
of zij extra maatregelen zal nemen om de onafhankelijkheid te waarborgen?

In de komende maanden zal het toezicht op kritieke entiteiten in de sector overheid
nader worden uitgewerkt. Daarbij zal nadrukkelijk aandacht zijn voor het borgen van
de onafhankelijkheid van dat toezicht. De verwachting is dat uw Kamer in het eerste
kwartaal van 2026 kan worden geïnformeerd over de maatregelen die zorgen voor het
in voldoende mate borgen van de onafhankelijkheid van dat toezicht.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties is voornemens om ambtenaren
van de Beveiligingsautoriteit Rijk (BVA Rijk) aan te wijzen die worden belast met
het toezicht op de naleving van het bepaalde bij of krachtens de Wwke door kritieke
entiteiten in de sector overheid.

De leden van de SP-fractie hebben gelezen dat openbaarmaking via de Wet open overheid
(hierna: Woo) in het onderliggende wetsvoorstel wordt beperkt. Waarom vindt de regering
de bestaande uitzonderingsgronden in de Woo niet voldoende?

De uitzonderingsgronden in de Wet open overheid (hierna: Woo) zijn niet toereikend,
omdat deze niet de garantie bieden dat alle vertrouwelijke gegevens die in het kader
van de Wwke worden verwerkt, niet openbaar kunnen worden gemaakt op grond van de Woo.
De in artikel 34, tweede lid, Wwke geregelde uitzondering op de Woo biedt kritieke
entiteiten op voorhand de garantie dat vertrouwelijke gegevens, waaronder gegevens
die door hen als zodanig aan de bevoegde autoriteit (vakminister en toezichthoudende
instantie) worden verstrekt, niet openbaar kunnen worden gemaakt op grond van de Woo.
Dit geldt ook voor vertrouwelijke gegevens die berusten bij de bevoegde autoriteit
(toezichthoudende instantie), bijvoorbeeld over de stand van de weerbaarheid van kritieke
entiteiten en incidenten bij deze entiteiten, waarover de bevoegde autoriteit komt
te beschikken in het kader van de uitvoering van haar toezichtsactiviteiten. De vertrouwelijkheid
van zulke gegevens moet zo veel mogelijk worden geborgd om reputatieschade, benadeling
van de concurrentiepositie en openbaarmaking van kwetsbaarheden te voorkomen.

De leden van de ChristenUnie-fractie lezen in de memorie van toelichting dat het de
lidstaten van de EU is opgedragen uiterlijk op 17 oktober 2024 aan de CER-richtlijn
te voldoen door deze richtlijn waar nodig in hun nationale regelgeving om te zetten.
Deze leden constateren dat deze datum al geruime tijd is verstreken, en vragen de
regering wat hier de reden voor is en of dit mogelijk gevolgen heeft.

De Nederlandse inspanningen zijn er altijd op gericht geweest de omzetting van de
CER-richtlijn naar nationale wetgeving tijdig en spoedig af te ronden. Het tot stand
brengen van de vereiste wetgeving heeft helaas meer tijd gekost, waardoor het niet
is gelukt om de implementatie tijdig af te ronden. Dit komt doordat de omzetting naar
nationale wetgeving een omvangrijk en complex traject is, onder meer door de toepasselijkheid
van de CER-richtlijn op een groot aantal sectoren en de introductie van nieuwe verplichtingen
voor organisaties. Daarbij is de omzetting naar nationale wetgeving gedaan met grote
zorgvuldigheid vanwege de aanzienlijke impact op vele Nederlandse organisaties. Vanwege
die impact is uit een oogpunt van zorgvuldige voorbereiding er ook voor gekozen om
het wetsvoorstel open te stellen voor internetconsultatie, hoewel dit bij implementatiewetsvoorstellen
niet verplicht is. De internetconsultatie heeft waardevolle reacties opgeleverd en
heeft onder meer geleid tot aanpassingen van het wetsvoorstel en aanvullingen in de
bijbehorende toelichting.

Nederland is overigens niet de enige lidstaat die de CER-richtlijn niet tijdig heeft
omgezet. Volgens het overzicht op de officiële website van de Europese Unie hebben
op het moment van schrijven naast Nederland ook 9 andere lidstaten de CER-richtlijn
nog niet volledig geïmplementeerd, waaronder Duitsland, Frankrijk en Spanje.5 Uiteraard is dit voor Nederland geen excuus om zelf ook niet tijdig te implementeren,
maar dit geeft wel een indicatie van de complexiteit en de haalbaarheid van tijdige
implementatie van de CER-richtlijn.

De niet-tijdige implementatie van de CER-richtlijn door Nederland heeft gevolgen voor
de hoogte van de boete die aan Nederland kan worden opgelegd wegens niet-tijdige implementatie
van de CER-richtlijn. De hoogte van die boete hangt namelijk onder meer af van de
duur van de inbreuk, meer concreet: hoe lang Nederland te laat is met het implementeren
van de CER-richtlijn.

Voor wat betreft de gevolgen van het ontbreken van nationale wet- en regelgeving waarin
de CER-richtlijn is geïmplementeerd wordt erop gewezen dat de CER-richtlijn veel raakvlakken
heeft met het staande beleid van de Aanpak vitaal. De regering benadrukt dat de weerbaarheidsdoelen
in de Aanpak vitaal al wel beleidsmatig nagestreefd worden. Veel departementen hebben
eerder al vitale aanbieders aangewezen en werken continu samen met deze partijen aan
het verhogen van hun weerbaarheid. Ook is er in de afgelopen maanden extra inzet gepleegd
om vitale processen weerbaarder te maken in het kader van het traject Maatschappelijke weerbaarheid tegen militaire en hybride dreigingen. Dit maakt dat er tijdens de omzetting van de CER-richtlijn in nationale wet- en
regelgeving continu aandacht is geweest voor het versterken van de weerbaarheid van
de Nederlandse vitale sectoren.

2. De CER-richtlijn

2.1 Kern van de richtlijn

De leden van de GroenLinks-PvdA-fractie erkennen het belang van een aanwijzingsmogelijkheid
voor kritieke entiteiten. Harmonisatie van veiligheids- en beveiligingseisen leidt
tot een gelijk niveau van bescherming tussen lidstaten. Dit mag echter niet leiden
tot het naar beneden bijstellen van eisen, in het geval deze nationaal hoger zijn
dan voorgesteld in de CER-richtlijn. Deze leden vragen de regering om toe te lichten
op welke manier nationale veiligheidseisen nu van elkaar verschillen tussen lidstaten.

De CER-richtlijn sluit voor een deel aan op de reeds bestaande kaders voor de bescherming
van onze vitale infrastructuur. De CER-richtlijn stelt deze kaders niet naar beneden
bij. In de meeste gevallen vindt er juist een verscherping plaats, al is het maar
omdat met de Wwke er een duidelijke wettelijke verankering wordt gecreëerd voor bestaand
beleid.

Omdat het in dit geval gaat om een richtlijn en niet om een verordening, is er een
mate van implementatievrijheid voor lidstaten van de Europese Unie. De CER-richtlijn
strekt tot het bereiken van een minimumniveau (minimumharmonisatie) en lidstaten kunnen
besluiten om over te gaan tot het stellen van hogere eisen. Er kan dus sprake zijn
van verschillen tussen lidstaten, maar voor alle lidstaten geldt dat er hoe dan ook
sprake is van een bepaald minimumniveau.

Vanuit de Europese Commissie is veel aandacht voor samenwerking en harmonisatie waar
dat mogelijk is. Er zijn bijvoorbeeld in samenwerking met alle lidstaten niet-bindende
richtsnoeren opgesteld die bij toepassing moeten leiden tot een soortgelijke implementatie
door lidstaten. Daarnaast wordt momenteel gewerkt aan een brede consultatie van Europese
brancheverenigingen, met ruimte voor inbreng van het Nederlandse bedrijfsleven, om
tot een handreiking te komen voor maatregelen die kunnen worden genomen ter voldoening
aan de zorgplicht door kritieke entiteiten.

2.2 Belangrijkste onderdelen van de richtlijn

De leden van de VVD-fractie zien in overweging 41 van de CER-richtlijn een lijst van
essentiële diensten, maar niet expliciet een lijst van (sub)sectoren. Kan de regering
verduidelijken of de in de bijlage bij de CER-richtlijn genoemde lijst van (sub)sectoren
uitputtend is? Indien dit niet zo is, hoe verhoudt de in het wetsvoorstel opgenomen
bevoegdheid om bij ministeriële regeling aanvullende (sub)sectoren aan te wijzen zich
tot deze lijst?

Op grond van artikel 5, eerste lid, CER-richtlijn is de Europese Commissie bevoegd
om een niet-uitputtende lijst van essentiële diensten vast te stellen voor de in de
bijlage bij de richtlijn genoemde sectoren en subsectoren. In overweging 41 van de
CER-richtlijn is opgenomen dat die lijst niet uitputtend is en dat lidstaten van de
Europese Unie de lijst kunnen aanvullen met andere essentiële diensten op nationaal
niveau, teneinde rekening te houden met nationale bijzonderheden bij de verlening
van essentiële diensten. Van die ruimte is gebruik gemaakt door in artikel 7 Wwke
de bevoegdheid voor de vakminister op te nemen om bij ministeriële regeling aanvullende
(sub)sectoren aan te wijzen.

2.3 Verhouding tot de NIS2-richtlijn en de Cbw

De leden van de GroenLinks-PvdA-fractie vragen de regering om beeldend toe te lichten
op welke overige aspecten, die niet onder de Cbw vallen, het wetsvoorstel van toepassing
is.

In het kader van de Wwke kan het bijvoorbeeld gaan om het plaatsen van omheiningen,
obstakels of andere objecten ter bescherming van het gebouw van de kritieke entiteit
tegen de gevolgen van een overstroming, waarmee kan worden voorkomen dat een overstroming
de continuïteit van de levering van essentiële diensten door die kritieke entiteit
kan raken. Het gaat dan niet om de netwerk- en informatiesystemen van de kritieke
entiteit of de fysieke omgeving daarvan (daarop is immers de Cbw van toepassing),
maar van andere ruimten en (bij)gebouwen van de kritieke entiteit, waarvan de inschatting
is dat als deze worden getroffen door een overstroming, de continuïteit van de levering
van de essentiële diensten in gevaar komt.

In het kader van de Wwke kan het bijvoorbeeld ook gaan om het treffen van toegangsmaatregelen
om te voorkomen dat de fysieke objecten van de kritieke entiteit kunnen worden gesaboteerd,
al dan niet door eigen medewerkers. Een ander voorbeeld is het in de bedrijfscontinuïteitsplannen
rekening houden met een pandemie. Nog een ander voorbeeld is het installeren van extra
(reserve)stroomgeneratoren om te garanderen dat er te allen tijde stroomvoorziening
is, waardoor de levering van essentiële diensten niet in gevaar komt.

3. Nationale context

De leden van de GroenLinks-PvdA-fractie lezen dat de cyclus vitaal wordt uitgevoerd
door vakministers met de frequentie «minimaal vierjaarlijks». Deze leden vragen de
regering om te onderbouwen waarom deze taak is belegd bij vakministers en niet bij
de coördinerende Minister van Justitie en Veiligheid, die mogelijk over meer kennis
beschikt wat betreft veiligheid en weerbaarheid. Tevens vragen deze leden of er een
standaardmethodiek wordt toegepast voor de vitaalbeoordeling, de weerbaarheidsanalyse
en het actieprogramma per sector. Zij vinden het wenselijk dat deze zo goed mogelijk
op elkaar aansluiten tussen sectoren, om tegenstrijdigheden voor entiteiten die onder
meer sectoren vallen, te voorkomen. Ook merken deze leden op dat standaardisatie vergelijkingen
tussen sectoren mogelijk maakt.

De Wwke sluit voor een groot deel aan op het huidige kader voor de bescherming van
onze vitale infrastructuur, te weten de Aanpak vitaal. De Aanpak vitaal kent al een
systematiek waarin er een primaire verantwoordelijkheid bij de vakminister ligt en
een coördinerende verantwoordelijkheid bij de Minister van Justitie en Veiligheid.
Bij de omzetting van de CER-richtlijn in nationale wet- en regelgeving is ervoor gekozen
om aan te sluiten bij deze reeds bestaande systematiek. Hiervoor is gekozen omdat,
zeker wat betreft de fysieke weerbaarheid, er sectoraal veel verschillen zijn die
ook sectorale kennis en expertise behoeven. De vakminister staat daarnaast in nauwer
contact met de «eigen» sector en heeft beter zicht op aanpalende sectorale wet- en
regelgeving waar bedrijven zich ook toe moeten verhouden. De sectoroverstijgende kennis
wat betreft veiligheid en weerbaarheid die bij de Minister van Justitie en Veiligheid
ligt, wordt voldoende wettelijk geborgd door de rol die de Minister van Justitie en
Veiligheid heeft bij veel onderdelen van de Wwke. Zo moet de vakminister in overleg
met de Minister van Justitie en Veiligheid de risicobeoordelingen opstellen en waar
nodig levert de Minister van Justitie en Veiligheid hierbij input.

Momenteel bestaat er een standaard vitaalinstrumentarium, opgesteld door de Minister
van Justitie en Veiligheid, dat een sectoroverstijgend uitgangspunt biedt voor alle
vakministers bij het uitvoeren van de vitaalbeoordeling. Hiermee wordt een uniforme
uitvoering van de vitaalbeoordeling door de verschillende vakministers zo goed mogelijk
gewaarborgd.

De leden van de CDA-fractie lezen dat Nederland al enige tijd de zogeheten Aanpak
vitaal kent. Dit is beleid ter bescherming van de vitale infrastructuur. Deze leden
vragen op welke manier deze Aanpak vitaal moet worden herzien of aangepast naar aanleiding
van de implementatie van de CER-richtlijn. Is de genoemde vitaalbeoordeling te vergelijken
met de risicobeoordeling of nationale strategie zoals voorgesteld in de CER-richtlijn
of betreft dit een ander onderdeel van de aanpak? En, zo ja, hoe voorkomt de regering
overlap en onduidelijkheid hierover?

De Wwke sluit voor een groot deel aan op de huidige kaders voor de bescherming van
de vitale infrastructuur, de Aanpak vitaal. Met de Wwke worden bepaalde onderdelen
van de Aanpak vitaal wettelijk verankerd, zoals de cyclus vitaal en de rol van de
vakministers. Zo schrijft de Wwke voor dat de bevoegde autoriteiten ten minste elke
vier jaar een risicobeoordeling moeten uitvoeren en dat de bevoegde autoriteiten de
kritieke entiteiten moeten ondersteunen.

De risicobeoordeling van de bevoegde autoriteit, bedoeld in artikel 9 Wwke, is te
vergelijken met de huidige vitaalbeoordeling en de weerbaarheidsanalyse. Genoemd instrumentarium
wordt momenteel zodanig aangepast dat deze voldoet aan de eisen die de Wwke aan de
risicobeoordeling en het aanwijzen van kritieke entiteiten stelt. Op dit moment wordt
verder bezien welke aanpassingen er nodig zijn in de Aanpak vitaal met de komst van
de Wwke. Hierbij zullen het wettelijk kader en het beleidsmatige kader in ieder geval
in samenhang bezien worden, en zal er ingezet worden op een vergelijkbaar weerbaarheidsniveau
door in te blijven zetten op het delen van informatie, best practices en dreigingsbeelden tussen sectoren.

Voor de sectoren die onder de Wwke vallen zal het beleidsmatige kader overgaan naar
het wettelijke kader van de Wwke. Omdat de Wwke implementatiewetgeving betreft en
de CER-richtlijn bepaalt dat deze niet van toepassing is op overheidsinstanties die
activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid,
defensie of rechtshandhaving, zijn de huidige vitale aanbieders die zulke overheidsinstanties
zijn, uitgezonderd van de Wwke. Voor deze partijen zal het beleidsmatige kader blijven
gelden.

4. Gemaakte implementatiekeuzes op hoofdlijnen

De leden van de GroenLinks-PvdA-fractie vragen de regering of zij heeft overwogen
om de Cbw en het wetsvoorstel samen te voegen in één wet, gezien de nauwe samenhang
tussen beide wetten.

De regering heeft bezien of de CER-richtlijn en de NIS2-richtlijn6 kunnen worden geïmplementeerd in één wet en heeft geconcludeerd dat dat niet wenselijk
is. Wel worden beide richtlijnen zoveel mogelijk in samenhang geïmplementeerd. Bij
de hiervoor genoemde conclusie zijn onder meer de onderstaande aspecten van belang.

De richtlijnen bevatten op veel punten gelijkenissen, maar ook verschillen. Zo bevatten
beide richtlijnen een zorgplicht en een meldplicht, maar is de invulling van die verplichtingen
verschillend. Zo bevat de meldplicht in het kader van de CER-richtlijn niet de fasen
die de NIS2-richtlijn wel voorschrijft.

Naast het bestaan van soortgelijke verplichtingen in beide richtlijnen bevatten de
richtlijnen elk afzonderlijk ook verplichtingen die de andere richtlijn niet bevatten.
Zo bevat de NIS2-richtlijn een verplichting voor bestuursleden voor het volgen van
een opleiding, terwijl de CER-richtlijn deze verplichting niet kent. Andersom is ook
het geval. Zo bevat de CER-richtlijn de verplichting voor kritieke entiteiten die
essentiële diensten verlenen aan of in zes of meer lidstaten van de Europese Unie
de verplichting om de bevoegde autoriteit hierover te informeren. De NIS2-richtlijn
bevat geen dergelijke verplichting voor essentiële entiteiten en belangrijke entiteiten.

Relevant is ook dat de CER-richtlijn bepalingen bevat die gelden voor organisaties
die worden aangeduid als kritieke entiteit, terwijl de NIS2-richtlijn bepalingen bevat
die gelden voor organisaties die worden aangeduid als essentiële entiteit of belangrijke
entiteit. Die termen (kritieke entiteit, essentiële entiteit en belangrijke entiteit)
moeten worden gebruikt in nationale wetgeving ter implementatie van de richtlijnen.
In dit kader wordt ook gewezen op het feit dat alle kritieke entiteiten (onder de
Wwke) weliswaar op grond van artikel 8, eerste lid, onderdeel i, Cbw van rechtswege
essentiële entiteit zijn onder de Cbw (omdat de NIS2-richtlijn dit dwingend voorschrijft),
maar dat andersom dit niet het geval is. Dit betekent dus dat er organisaties zijn
waarop zowel de Wwke als de Cbw van toepassing zijn, maar dat er ook organisaties
zijn waarop alleen de Cbw van toepassing is.

Gelet op de hiervoor genoemde aspecten concludeert de regering dat één implementatiewet
zal leiden tot een onduidelijke, verwarrende en onnavolgbare wet, waaruit voor organisaties
niet duidelijk blijkt welke verplichtingen voor hen gelden en wat dus van hen wordt
verlangd. Daarmee kunnen ook de doelen van beide richtlijnen in het geding komen.

De leden van de VVD-fractie lezen in het wetsvoorstel dat ervoor is gekozen om de
nationale risicobeoordeling sectoraal uit te voeren, zodat de beoordeling wordt uitgevoerd
met voldoende inzicht in sectorspecifieke eigenschappen en belangen. Deze leden ondersteunen
het doel van deze keuze, maar vragen hoe voldoende coherentie tussen de sectoren wordt
geborgd, zodat in de verschillende sectoren uiteindelijk hetzelfde weerbaarheidsniveau
wordt gehandhaafd. Kan de regering toelichten of er entiteiten zijn die onder meerdere
sectoren vallen en, zo ja, op welke wijze het wetsvoorstel omgaat met deze entiteiten
en hoe wordt voorkomen dat deze entiteiten te maken krijgen met overlappende of conflicterende
verplichtingen vanuit verschillende bevoegde autoriteiten?

De coherentie tussen de sectoren wordt geborgd doordat in de Wwke is gekozen voor
de systematiek waarin er een primaire verantwoordelijkheid bij de vakminister ligt
en een coördinerende verantwoordelijkheid bij de Minister van Justitie en Veiligheid
ligt. De Minister van Justitie en Veiligheid werkt bijvoorbeeld aan het opstellen
van één handleiding voor de bevoegde autoriteiten voor het uitvoeren van een sectorale
risicobeoordeling. Zo wordt zoveel mogelijk coherentie tussen sectoren nagestreefd.

Omdat het aanwijzen van entiteiten als kritieke entiteit in de zin van de Wwke nog
moet plaatsvinden, valt op dit moment nog niet te zeggen of er entiteiten zijn die
onder meerdere sectoren vallen. Bij een aanwijzing van eenzelfde kritieke entiteit
onder twee verschillende sectoren kunnen de aard, kwetsbaarheden en gevolgen van de
twee verschillende essentiële diensten – ondanks dat er sprake is van één kritieke
entiteit – verschillen en zal dus ook per essentiële dienst naar de sectorspecifieke
aspecten worden gekeken. Het kan voorkomen dat de risicobeoordeling van de ene bevoegde
autoriteit (vakminister) op andere aspecten de nadruk legt dan de risicobeoordeling
van de andere bevoegde autoriteit (vakminister). Over de verschillende sectorspecifieke
aspecten zullen dan tussen de desbetreffende vakministers onderling afspraken worden
gemaakt om conflicterende verwachtingen en dubbel werk te voorkomen. Hierbij wordt
uiteraard ook gepoogd de (administratieve) lasten en regeldruk voor bedrijven zoveel
mogelijk te beperken.

De leden van de VVD-fractie vragen in het verlengde hiervan waarom er niet voor is
gekozen om het toezicht bij één toezichthouder te beleggen met sectorspecifieke kennis
in plaats van de gekozen route van verschillende toezichthouders per sector. Hoe wordt
toezicht en handhaving gecoördineerd in het geval een kritieke entiteit valt onder
meerdere bevoegde autoriteiten en wie heeft in zo'n geval de regie?

In artikel 8, eerste en tweede lid, Wwke zijn de vakministers aangewezen als de bevoegde
autoriteit voor kritieke entiteiten. Op grond van artikel 8, derde lid, onderdeel a,
Wwke heeft de bevoegde autoriteit, en dus de vakminister, de taak om te zorgen voor
de bestuursrechtelijke handhaving van het bepaalde bij of krachtens de Wwke.7 De vakministers wijzen bij besluit de ambtenaren aan die zijn belast met het toezicht
op de naleving van het bepaalde bij of krachtens de Wwke, zie artikel 36, eerste lid,
Wwke.8 Daarbij zal het gaan om de aanwijzing van ambtenaren van sectorale toezichthoudende
instanties, omdat sectorspecifieke kennis een belangrijk onderdeel is om te kunnen
toetsen of een kritieke entiteit weerbaar is. Deze keuze ligt in het verlengde van
de keuze om de risicobeoordeling van de bevoegde autoriteit door de vakminister uit
te laten voeren. Daarnaast is van belang dat het aansluiten op reeds bestaande toezichtrelaties
gunstig kan zijn gelet op de (administratieve) lasten en regeldruk voor bedrijven,
nu een kritieke entiteit al een relatie heeft met de desbetreffende instantie en de
werkwijze van die instantie reeds bekend is.

Overleg tussen de hiervoor bedoelde toezichthoudende instanties vindt plaats in het
overlegorgaan Samenwerkend Toezicht (Digitale) Weerbaarheid (STDW). In dit overlegorgaan
maken deze instanties afspraken over afstemming, informatie-uitwisseling en contact
richting entiteiten. Daarmee wordt geborgd dat toezicht en handhaving gecoördineerd
plaatsvinden en dat dubbele belasting voor de entiteit wordt voorkomen.

Voor grote concerns of corporaties die in meerdere sectoren actief zijn, kan het voorkomen
dat verschillende onderdelen van een concern elk onder het toezicht van een andere
bevoegde autoriteit vallen. Deze onderdelen hebben vaak operationeel geen directe
verbinding met elkaar. In dat geval zijn dus meerdere bevoegde autoriteiten actief
binnen hetzelfde concern, zonder dat dit leidt tot conflicterende belangen. De (ambtenaren
van de) hiervoor bedoelde instanties trekken gezamenlijk op en maken indien nodig
in het hiervoor genoemd overlegorgaan afspraken over wie in de praktijk de regie voert.

De leden van de CDA-fractie begrijpen dat in de CER-richtlijn is bepaald dat een nationale
risicobeoordeling moet worden uitgevoerd om inzicht te krijgen in de risico’s die
negatieve gevolgen kunnen hebben voor de verlening van essentiële diensten op het
grondgebied. De regering heeft ervoor gekozen om de nationale risicobeoordeling sectoraal
uit te voeren. Deze leden vragen op welke manier overzicht gehouden wordt over de
nationale risicobeoordeling als deze sectoraal wordt uitgevoerd. In hoeverre wordt
een overkoepelende nationale risicobeoordeling gemaakt in samenspraak met de eindverantwoordelijke
Minister en de betreffende vakministers, met voldoende oog voor adequate informatiedeling?

De Wwke sluit voor een groot deel aan op de huidige kaders voor de bescherming van
onze vitale infrastructuur, de Aanpak vitaal. In de huidige Aanpak vitaal wordt de
onderverdeling bij vakministers reeds toegepast. Hiervoor is gekozen omdat, zeker
wat betreft de fysieke weerbaarheid, er sectoraal veel verschillen zijn die ook sectorale
kennis en expertise behoeven. De (sectoroverstijgende) kennis wat betreft veiligheid
en weerbaarheid die bij de Minister van Justitie en Veiligheid ligt, wordt voldoende
wettelijk geborgd door de rol die de Minister van Justitie en Veiligheid heeft bij
veel onderdelen van de Wwke. Zo moet de vakminister in overleg met de Minister van
Justitie en Veiligheid de risicobeoordelingen opstellen en waar nodig levert de Minister
van Justitie en Veiligheid hierbij input. Daarnaast stelt de Minister van Justitie
en Veiligheid de nationale (uitvoerings)strategie, bedoeld in artikel 13 Wwke, op
die als uitgangspunt fungeert voor de sectorale risicobeoordelingen. Hiermee wordt
bewerkstelligd dat hoewel de vakminister per sector maatwerk kan leveren, er wel vanuit
een gemeenschappelijk en overkoepelend weerbaarheidsstartpunt wordt gewerkt.

De leden van de CDA-fractie vragen of de regering in kan gaan op het begrip «kritieke
entiteit». Wanneer is hier sprake van en op welke manier wordt rekening gehouden met
het verschil tussen de sectoren?

In artikel 6, eerste lid, Wwke zijn de criteria opgenomen op basis waarvan de vakminister
beoordeelt of een entiteit kwalificeert als kritieke entiteit, waaronder het criterium
dat een incident bij die entiteit aanzienlijke verstorende effecten zou hebben. In
artikel 6, tweede lid, Wwke zijn de criteria opgenomen waar de vakminister rekening
mee moet houden bij het bepalen of een verstorend effect aanzienlijk is. Die criteria
betreffen onder meer het aantal gebruikers dat afhankelijk is van de door de entiteit
verleende essentiële dienst en het marktaandeel van de entiteit op de markt voor de
betrokken essentiële dienst. Hoewel deze algemene criteria voor alle sectoren gelden,
kunnen deze criteria per sector verschillend worden ingevuld. De vakminister zal dan
ook per sector beoordelen hoe de criteria worden toegepast en welke entiteiten worden
aangewezen als kritieke entiteit in de zin van de Wwke.

5. Hoofdlijnen van de Wwke

5.1 Sectorale risicobeoordeling

De leden van de GroenLinks-PvdA-fractie vragen de regering om meer helderheid over
hoe de sectorale risicobeoordeling in de praktijk zal worden uitgevoerd. Door welke
organisaties, onder verantwoordelijkheid van vakministers, zullen de beoordelingen
worden uitgevoerd? Beschikt elke vakminister over de capaciteit om dit te bewerkstelligen?
Daarnaast vragen deze leden hoe deze beoordelingen worden aangesloten op reeds bestaande
risicoanalyses en dreigingsbeelden. Deze leden vragen de regering om dubbel werk te
voorkomen, maar juist te werken aan een diep en integraal inzicht door het uitvoeren
van risicobeoordelingen.

In de praktijk verschilt het per vakminister welke organisatie onder de verantwoordelijkheid
van de vakminister de beoordeling uitvoert. Sommige vakministers kiezen ervoor om
zelf de beoordeling uit te voeren. Als de personele capaciteit of expertise hiervoor
niet binnen het vakministerie zelf te vinden is, kiezen sommige vakministers ervoor
om dit uit te besteden aan (gescreende) externen.

Momenteel bestaat er een standaard vitaalinstrumentarium, opgesteld door de Minister
van Justitie en Veiligheid, dat een sectoroverstijgend uitgangspunt biedt voor de
risicobeoordeling. Het huidige vitaalinstrumentarium wordt op dit moment bijgewerkt
met het oog op de komst van de Wwke. In zowel het huidige instrumentarium als het
nieuwe format voor de sectorale risicobeoordeling wordt ook nadrukkelijk aandacht
geschonken aan de aansluiting op reeds bestaande risicoanalyses en dreigingsbeelden.
De nationale (uitvoerings)strategie, bedoeld in artikel 13 Wwke, die de Minister van
Justitie en Veiligheid opstelt biedt daarnaast overkoepelende kaders en richting en
dient als uitgangspunt voor de sectorale risicobeoordelingen.

5.2 Aanwijzing kritieke entiteiten

De leden van de GroenLinks-PvdA-fractie merken op dat de vitaalbeoordeling gebruikt
wordt voor de sectorale risicobeoordeling. Dit geldt ook voor artikel 9 van de Cbw.
Daarom vragen deze leden hoe aansluiting wordt gezocht tussen de beoordelingen uitgevoerd
in het kader van zowel de Cbw als het wetsvoorstel. Kunnen deze gebundeld worden tot
één integrale risicobeoordeling?

Hoewel er overlap en gelijkenissen kunnen zijn tussen de risicobeoordeling op grond
van de Cbw en de risicobeoordeling op grond van de Wwke, zijn er ook verschillen.
Zo is het uitgangspunt van de risicobeoordeling door de kritieke entiteit, bedoeld
in artikel 14 Wwke, specifiek de weerbaarheid van de essentiële dienst en is het uitgangspunt
bij de Cbw de netwerk- en informatiesystemen. Dit neemt niet weg dat kritieke entiteiten
in de zin van de Wwke in de praktijk veelal geen scheiding aanhouden tussen de «cyberwereld»
en de «fysieke wereld» en er dus door entiteiten integraal naar risico’s en dreigingen
wordt gekeken. Dit betekent in de praktijk dat er een integrale risicobeoordeling
plaats kan vinden voor in dit geval de Wwke en de Cbw, mits aan alle gestelde eisen
voor beide risicobeoordelingen wordt voldaan. Dit is echter geen verplichting en dus
optioneel, maar kan voor bedrijven een vermindering in de administratieve lasten betekenen
en onnodige regeldruk voorkomen.

De leden van de ChristenUnie-fractie merken na bestudering van artikel 5 van het wetsvoorstel
op dat de Rechtspraak geen onderdeel uitmaakt van de opsomming van verscheidene overheidsinstanties
die zijn uitgesloten van deze wet. Deze leden vragen de regering om toe te lichten
met welke reden hiervoor gekozen is. Wat zijn in de ogen van de regering de eventuele
negatieve gevolgen van deze keuze?

De Wwke is niet van toepassing op de rechtbanken, de gerechtshoven, de Hoge Raad,
het College van Beroep voor het bedrijfsleven, de Centrale Raad van Beroep en de Afdeling
bestuursrechtspraak van de Raad van State. Dit volgt niet uit artikel 5 Wwke, maar
uit de in artikel 1 Wwke opgenomen definitie van overheidsinstantie. Die definitie
volgt uit de in artikel 2, onderdeel 10, CER-richtlijn opgenomen definitie van overheidsinstantie,
waarin de rechterlijke macht wordt uitgezonderd van de definitie van overheidsinstantie
in de zin van de CER-richtlijn. Er is in dit verband dus geen sprake geweest van een
(beleids)keuze om een organisatie al dan niet uit te sluiten van het toepassingsbereik
van de Wwke, maar van een dwingend voorschrift uit de CER-richtlijn.

5.3 Risicobeoordeling door kritieke entiteiten

De leden van de GroenLinks-PvdA-fractie hebben begrip voor het laten uitvoeren van
interne risicobeoordelingen door kritieke entiteiten. Het is echter van belang dat
er een goede mate van onafhankelijkheid en standaardisatie is in de wijze waarop deze
beoordelingen plaatsvinden. Welke voor- en nadelen ziet de regering in het beleggen
van de beoordeling bij de kritieke entiteit zelf?

Artikel 12, eerste lid, CER-richtlijn schrijft dwingend voor dat lidstaten van de
Europese Unie ervoor moeten zorgen dat kritieke entiteiten zelf een risicobeoordeling
uitvoeren. De regering onderschrijft het belang hiervan, omdat entiteiten zelf het
beste zicht hebben op hun organisatie, processen en randvoorwaarden die de essentiële
dienstverlening mogelijk maken én de kwetsbaarheden die daarbij horen.

Vakministers en andere (overheids)partijen kunnen kritieke entiteiten ondersteuning
bieden bij het uitvoeren van de risicobeoordeling. Daarnaast dient de vakminister
op grond van artikel 9, eerste lid, Wwke ook zelf een risicobeoordeling uit te voeren
voor de desbetreffende sectoren. Kritieke entiteiten moeten vervolgens op grond van
artikel 14, eerste lid, Wwke rekening houden met deze sectorale risicobeoordeling
bij hun eigen risicobeoordeling. Zij moeten daarnaast gebruik maken van andere relevante
informatiebronnen. Daarbij kan het gaan om openbare sectorale analyses, periodieke
risicoanalyses voor de vitale infrastructuur of andersoortige periodieke dreigingsbeelden.
Dit zijn in ieder geval de door de Minister van Justitie en Veiligheid opgestelde
of aangeboden Rijksbrede Risicoanalyse Nationale Veiligheid (RbRa) en andere relevante
periodieke risicoanalyses, zoals het Cybersecuritybeeld Nederland (CSBN), het Dreigingsbeeld
Statelijke Actoren (DBSA) en het Dreigingsbeeld Terrorisme Nederland (DTN). Door het
voorgaande is er voldoende oog voor onafhankelijkheid en standaardisatie én voor risicogebaseerd
maatwerk voor en door kritieke entiteiten.

De leden van de NSC-fractie lezen dat op entiteiten die worden aangewezen als kritiek,
de verplichting komt te rusten om een risicobeoordeling uit te voeren. De kritieke
entiteit beoordeelt in dat kader alle relevante door de natuur en door de mens veroorzaakte
risico’s die de verlening van haar essentiële dienst of diensten kunnen verstoren.
Deze leden lezen in de memorie van toelichting dat een risicobeoordeling bestaat uit
het proces om potentiële relevante dreigingen, kwetsbaarheden en gevaren die tot een
incident kunnen leiden, in kaart te brengen en te analyseren, en de impact die een
incident zou kunnen hebben op de verstoring van een essentiële dienst, in te schatten.
Vervolgens moeten kritieke entiteiten indien nodig (aanvullende) maatregelen nemen
in lijn met de risico’s waarmee zij geconfronteerd worden, om incidenten te voorkomen,
te beperken of te beheersen, en om bescherming te bieden of bestand te zijn tegen,
te reageren op of zich aan te passen aan en te herstellen van een incident. Kan de
regering toelichten in hoeverre en op welke wijze kritieke entiteiten hier hulp bij
(kunnen) krijgen? Hoe ver strekt de verantwoordelijkheid van de kritieke entiteit
zelf bij het maken van de inschatting of bijvoorbeeld aanvullende maatregelen nodig
zijn?

De primaire verantwoordelijkheid voor het nemen van maatregelen ter voldoening aan
de zorgplicht (artikel 15 Wwke) en de inschatting van welke maatregelen passend en
evenredig zijn, ligt bij de kritieke entiteit zelf. Door middel van de sectorale risicobeoordeling
kan een vakminister sturen op welke dreigingen en risico’s een kritieke entiteit in
ieder geval moet onderkennen. Het is vervolgens aan de kritieke entiteit om middels
een risicobeoordeling tot passende en evenredige maatregelen te komen om de weerbaarheid
van de essentiële dienst te borgen. Een vakminister en andere (overheids)partijen
kunnen hierbij ondersteuning bieden, bijvoorbeeld door het aanleveren van (standaard)informatie.
Denk daarbij aan de openbare producten met dreigingsinformatie, zoals het Dreigingsbeeld
Statelijke Actoren (DBSA), het Cybersecuritybeeld Nederland (CSBN) en het Dreigingslandschap
Vitale Infrastructuur. Waar ondersteuning sectoroverstijgend kan worden ingericht
is er ook een rol weggelegd voor de Minister van Justitie en Veiligheid, vanuit zijn
coördinerende rol op het beleid en door de samenwerking tussen bevoegde autoriteiten
te bevorderen vanuit zijn rol als centraal contactpunt (artikel 12 Wwke). Hierbij
valt te denken aan de ontwikkeling van standaard formats voor de risicobeoordeling
en het faciliteren en bevorderen van informatie-uitwisseling tussen de bevoegde autoriteit
en kritieke entiteiten.

De leden van de CDA-fractie lezen dat de regering als uitgangspunt heeft dat het wetsvoorstel
en de Cbw zoveel mogelijk op elkaar aansluiten, zodat entiteiten niet met administratieve
lasten te maken krijgen. Hierbij kan worden gedacht aan het simultaan uitvoeren van
zowel de risicobeoordeling bedoeld onder het wetsvoorstel, als de risicobeoordeling
bedoeld onder de Cbw. Deze leden vragen of dit inderdaad het uitgangspunt wordt of
dat dit optioneel is. Op welke manier krijgen de kritieke entiteiten hierover informatie
en aanbevelingen, en wat is de reden dat er niet voor gekozen is om de risicobeoordeling
onder zowel de Cbw als het wetsvoorstel gelijk te trekken? Denkt de regering niet
dat dit tot verwarring en/of dubbel werk kan gaan leiden?

Voor het antwoord op deze vraag wordt verwezen naar het antwoord op de vraag van de
leden van de GroenLinks-PvdA-fractie over de vitaalbeoordeling in paragraaf 5.2.

5.4 Zorgplicht

De leden van de GroenLinks-PvdA-fractie vinden het onduidelijk hoe de evenredigheid
van maatregelen wordt vastgesteld. Maatregelen vergen investeringen en informatietechnologiekennis
die een beslag leggen op de entiteit, terwijl risico’s abstract zijn. Daardoor ontstaat
mogelijk een prikkel om maatregelen als onevenredig te beoordelen. Tegelijkertijd
stelt de regering dat financiële capaciteit en een beperkte omvang een entiteit niet
ontslaan van haar verplichting om maatregelen te nemen. Hoe worden entiteiten ondersteund
als zij aangeven noodzakelijke maatregelen niet te kunnen nemen?

Het nemen van maatregelen vergt risicogebaseerd maatwerk en kan per sector, subsector,
categorie van entiteiten of zelfs entiteit verschillen. Het is in eerste instantie
aan de kritieke entiteit zelf om vast te stellen of de maatregelen evenredig zijn
gelet op de risico’s en dreigingen.

Indien een kritieke entiteit van mening is dat zij noodzakelijke maatregelen vanwege
onevenredigheid niet kan nemen, kan allereerst van deze entiteit verlangd worden dat
zij in overleg treedt met de vakminister om te bezien of met de beschikbare ondersteuning
de onevenredigheid van de maatregelen weggenomen kan worden. Daarnaast zal de kritieke
entiteit desgevraagd gemotiveerd bij de instantie, waarvan de ambtenaren door de vakminister
zijn belast met toezicht op de naleving van de verplichtingen uit de Wwke, moeten
aangeven waarom de evenredigheid in de weg staat aan het treffen van de maatregelen.
Die instantie kan deze omstandigheden van het geval in het bredere licht van de uitgevoerde
risicobeoordelingen meenemen in haar beoordeling van de naleving van de zorgplicht
door de betreffende entiteit.

De leden van de VVD-fractie vragen hoe wordt getoetst of een maatregel passend is,
gelet op het feit dat maatregelen dienen te worden afgestemd op de risico’s in relatie
tot de entiteit en de specifieke context en dus per entiteit kunnen verschillen. Tevens
vragen deze leden hoe de coherentie en consistentie van maatregelen tussen entiteiten
binnen dezelfde sector wordt geborgd.

Het is in eerste instantie aan de kritieke entiteit zelf om vast te stellen of de
maatregelen in het kader van de zorgplicht (artikel 15 Wwke) passend en evenredig
zijn gelet op de risico’s en dreigingen. De bevoegde autoriteit zal uiteindelijk toetsen
of de genomen of juist niet genomen maatregelen in verhouding staan tot de risico’s
en dreigingen. Hierbij dient uiteraard de sectorale, alsook de entiteitspecifieke
context te worden meegewogen.

Door middel van de sectorale risicobeoordeling kan een vakminister sturen op welke
dreigingen en risico’s een kritieke entiteit in ieder geval moet onderkennen bij het
nemen van maatregelen. Hierbij beziet de vakminister de overkoepelende risico’s binnen
de desbetreffende sector, om zodoende zoveel mogelijk de coherentie en consistentie
van maatregelen binnen eenzelfde sector te borgen.

De leden van de NSC-fractie lezen dat kritieke entiteiten de zorgplicht hebben om
passende en evenredige technische, beveiligings- en organisatorische maatregelen te
nemen om een weerbare entiteit te creëren. Volgens het wetsvoorstel en de memorie
van toelichting is het in eerste instantie aan kritieke entiteiten zelf om vast te
stellen welke maatregelen passend en evenredig zijn om de risico’s, waarmee zij geconfronteerd
worden, te kunnen beheersen. Deze leden verwachten dat het voor entiteiten lastig
kan zijn om te bepalen wanneer hun aanpak passend en evenredig is, ook al staan er
aanknopingspunten in het wetsvoorstel en de memorie van toelichting. In het concept
van het Besluit weerbaarheid kritieke entiteiten staan verschillende bepalingen ter
invulling van de zorgplicht. Kan een kritieke entiteit er in beginsel van uitgaan
dat aan de zorgplicht wordt voldaan als conform al die bepalingen wordt gehandeld?
Zo nee, kan de regering nadere aanknopingspunten bieden?

Welke concrete maatregelen in het kader van de zorgplicht passend en evenredig zijn,
is maatwerk gebaseerd op de risico’s en dreigingen én de entiteitspecifieke omstandigheden.
Het is de intentie van de regering om, gelet op artikel 10 Wwke, ondersteuning te
bieden aan kritieke entiteiten bij het nemen van maatregelen ter uitvoering van de
zorgplicht. Hierbij kan bijvoorbeeld gedacht worden aan regulier contact met de vakminister
waar dat gewenst is of het opstellen van handreikingen voor een duiding van bepaalde
dreigingen.

Voorts is in dit kader relevant om te vermelden dat op dit moment door de Europese
Commissie voor alle lidstaten van de Europese Unie een richtsnoer wordt ontwikkeld
om kritieke entiteiten te ondersteunen bij het nemen van passende en evenredige technische,
beveiligings- en organisatorische maatregelen.

Ten aanzien van de uitwerking van de zorgplicht in het Besluit weerbaarheid kritieke
entiteiten (hierna: Bwke) wordt opgemerkt dat het besluit maatregelen noemt die de
kritieke entiteit ten minste dient te nemen ter uitvoering de zorgplicht. Dit laat
de algemeen geformuleerde zorgplicht in artikel 15, eerste lid, Wwke die rechtstreeks
voortvloeit uit de CER-richtlijn onverlet.

5.5 Meldplicht

De leden van de GroenLinks-PvdA-fractie vragen om duidelijkheid over hoe drempelwaarden
worden vastgesteld. Een relatief klein incident kan immers uitgroeien tot een groter
probleem of onvoorziene gevolgen hebben. Daarom achten deze leden het van belang dat
er een relatief lage drempelwaarde is. Onderschrijft de regering dat?

De drempelwaarden worden door de vakministers vastgesteld, na overleg met de betrokken
sector. Voor het vaststellen van de drempelwaarden is door de Minister van Justitie
en Veiligheid een gemeenschappelijk beleidskader opgesteld, dat als een gezamenlijk
vertrekpunt dient voor het bepalen van de drempelwaarden. Uiteindelijk worden alle
drempelwaarden in overleg met de Minister van Justitie en Veiligheid vastgesteld.

Bij het vaststellen van de drempelwaarden zal telkens oog zijn voor het balans tussen
enerzijds grote of onvoorziene gevolgen en anderzijds de doelmatigheid en administratieve
lasten. Het belangrijkste uitgangspunt hierbij is uiteraard dat de weerbaarheid van
de kritieke entiteit zo goed mogelijk wordt geborgd.

De leden van de VVD-fractie lezen dat ten aanzien van vertrouwelijke informatie bij
een melding ook kan worden gedacht aan concrete informatie over de entiteit die door
een dreiging of incident is getroffen, waarbij verdere verspreiding van die informatie
tot gevolg heeft dat die entiteit daarvan nadeel ondervindt, bijvoorbeeld omdat de
commerciële belangen van die entiteit daardoor kunnen worden geschaad. In dat licht
vragen deze leden of kritieke entiteiten ook gehouden zijn om klanten, afnemers of
andere partners die mogelijk schade ondervinden van het incident, actief te informeren
en welke bevoegdheden de bevoegde autoriteit heeft om een dergelijke informatieverstrekking
te bevorderen of af te dwingen.

Kritieke entiteiten zijn hiertoe op grond van de Wwke niet gehouden, omdat de CER-richtlijn
een dergelijk voorschrift niet bevat. De bevoegde autoriteit heeft geen bevoegdheden
om een dergelijke informatieverstrekking te bevorderen of af te dwingen.

5.6 Centraal contactpunt

De leden van de GroenLinks-PvdA-fractie vragen welke organisatie namens de Minister
van Justitie en Veiligheid zal fungeren als centraal contactpunt.

In de praktijk zal de Nationaal Coördinator Terrorismebestrijding en Veiligheid (hierna:
NCTV) namens de Minister van Justitie en Veiligheid fungeren als centraal contactpunt
in de zin van de Wwke.

De leden van de CDA-fractie lezen dat de Minister van Justitie en Veiligheid medeverantwoordelijk
is vanuit zijn rol als coördinerend bewindspersoon voor de bescherming van de weerbaarheid
in Nederland en de nationale veiligheid. Dat is een van de redenen waarom deze Minister
wordt aangewezen als het centrale contactpunt, ook met andere Europese lidstaten.
Deze leden vragen aan de regering op welke manier de informatie-uitwisseling tussen
verschillende lidstaten wordt ingericht en welke belemmeringen hiervoor nog moeten
worden weggenomen.

De inrichting van de informatie-uitwisseling tussen verschillende lidstaten van de
Europese Unie wordt vormgegeven door de Europese Commissie. Een belangrijk gremium
hiervoor is de Groep voor de weerbaarheid van kritieke entiteiten, zoals geregeld
in artikel 19 CER-richtlijn. De NCTV is verantwoordelijk voor de overkoepelende beleidsaanpak,
de Aanpak vitaal, en zal namens de Minister van Justitie en Veiligheid fungeren als
centraal contactpunt. Deze organisatie neemt namens de regering deel aan de Groep
voor de weerbaarheid van kritieke entiteiten. Vanuit haar rol als centraal contactpunt
is zij zowel verantwoordelijk voor de onderlinge samenwerking tussen bevoegde autoriteiten,
als voor de samenwerking en informatie-uitwisseling met andere lidstaten van de Europese
Unie. Eén van de aandachtspunten voor een goede informatie-uitwisseling is de vertrouwelijkheid
van informatie en een betrouwbaar en veilig proces voor het borgen van deze vertrouwelijkheid.
De regering kaart dit ook aan bij de Europese Commissie.

5.7 Bevoegde autoriteit

De leden van de GroenLinks-PvdA-fractie vragen de regering om, indien mogelijk, inzichtelijk
te maken welke organisaties als bevoegde autoriteit zullen worden aangewezen.

In artikel 8, eerste en tweede lid, Wwke zijn de vakministers aangewezen als de bevoegde
autoriteit voor kritieke entiteiten. Op grond van artikel 8, derde lid, onderdeel a,
Wwke heeft de bevoegde autoriteit, en dus de vakminister, de taak om te zorgen voor
de bestuursrechtelijke handhaving van het bepaalde bij of krachtens de Wwke.9 De vakministers wijzen bij besluit de ambtenaren aan die zijn belast met het toezicht
op de naleving van het bepaalde bij of krachtens de Wwke, zie artikel 36, eerste lid,
Wwke.10 Daarbij zal het gaan om de aanwijzing van ambtenaren van verschillende organisaties,
afhankelijk van de sector. In de onderstaande tabel wordt dit voor de leesbaarheid
weergegeven als «toezichthoudende instantie».

Bevoegde autoriteit

Sector

Subsector

Toezichthoudende instantie

Minister van Binnenlandse Zaken en Koninkrijksrelaties

overheid

 

Beveiligingsautoriteit Rijk

Minister van Economische Zaken

digitale infrastructuur

 

1

ruimtevaart

 

Rijksinspectie Digitale Infrastructuur

Minister van Financiën

bankwezen

 

1

infrastructuur voor de financiële markt

 

Minister van Infrastructuur en Waterstaat

vervoer

lucht

Inspectie Leefomgeving en Transport

spoor

water

weg

openbaar vervoer

drinkwater

 

afvalwater

 

Minister van Klimaat en Groene Groei

energie

elektriciteit

Rijksinspectie Digitale Infrastructuur en Staatstoezicht op de Mijnen2

stadsverwarming en -koeling

olie

gas

waterstof

Minister van Landbouw, Visserij, Voedselzekerheid en Natuur

productie, verwerking en distributie van levensmiddelen

 

Nederlandse Voedsel- en Warenautoriteit

Minister van Volksgezondheid, Welzijn en Sport

gezondheidszorg

 

Inspectie Gezondheidszorg en Jeugd

De bovenstaande tabel biedt geen uitputtende lijst van sectoren en toezichthoudende
instanties. Na de inwerkingtreding van de Wwke kunnen de bevoegde autoriteiten (vakministers)
namelijk ervoor kiezen om aanvullende sectoren aan te wijzen, conform artikel 7 Wwke.
De vakministers zullen dan ook voor die aanvullende sectoren bij besluit de ambtenaren
aanwijzen die zijn belast met het toezicht op de naleving van het bepaalde bij of
krachtens de Wwke.

X Noot

1

Kritieke entiteiten in de sectoren digitale infrastructuur, bankwezen en infrastructuur
voor de financiële markt zijn uitgezonderd van de verplichting tot het uitvoeren van
een risicobeoordeling, de zorgplicht, de meldplicht, de verplichting tot het aanwijzen
van een verbindingsfunctionaris, de verplichting uit artikel 20 Wwke (over de kennisgeving
over de verlening van essentiële diensten aan of in zes of meer lidstaten van de Europese
Unie) en de verplichting die is neergelegd in artikel 22 Wwke (over kritieke entiteiten
van bijzonder Europees belang). Dit is geregeld in artikel 23 Wwke.

X Noot

2

Voor het toezicht op kritieke entiteiten in de sector energie worden momenteel afspraken
gemaakt tussen de Rijksinspectie Digitale Infrastructuur en het Staatstoezicht op
de Mijnen.

5.8 Ondersteuning aan kritieke entiteiten

De leden van de GroenLinks-PvdA-fractie vragen de regering om enkele voorbeelden te
noemen van bestaande (crisis)structuren waarop de ondersteuning aan kritieke entiteiten
zal worden aangesloten.

Elk ministerie neemt maatregelen op het eigen beleidsterrein om crises aan te pakken.
Daarvoor heeft ieder ministerie een Departementaal Crisiscoördinatiecentrum. Het Ministerie
van Justitie en Veiligheid heeft daarnaast een Nationaal Crisiscentrum, ondergebracht
bij de NCTV. Dit centrum is een 24/7-informatieloket en ondersteunt de nationale crisisstructuur
en de daarbij betrokken partijen.

Het Nationaal Handboek Crisisbeheersing legt op hoofdlijnen de rollen, taken, verantwoordelijkheden
en bevoegdheden vast van de belangrijkste partijen binnen de nationale crisisstructuur.
In deze crisisstructuur hebben de Departementale Crisiscoördinatiecentra een belangrijke
rol. Bij het vormgeven van de ondersteuning aan kritieke entiteiten wordt nadrukkelijk
aansluiting gezocht bij deze bestaande structuren, bijvoorbeeld waar het gaat om gezamenlijke
(crisis)oefeningen en trainingen. Daarnaast wordt er ingezet op één gezamenlijk meldportaal
voor meldingen van incidenten onder de Cbw en de Wwke. Dit meldportaal zal door het
Nationaal Cyber Security Centrum (NCSC) worden beheerd. Door bij de bestaande praktijk
aan te sluiten en één portaal te bieden vergemakkelijkt dit het doen van meldingen
onder beide wettelijke kaders voor bedrijven.

5.9 Handhaving

De leden van de GroenLinks-PvdA-fractie vragen de regering om toe te lichten welke
eisen er worden gesteld aan de audits die verplicht kunnen worden.

De Wwke stelt als eis dat wanneer de bevoegde autoriteit een kritieke entiteit verplicht
om een audit te laten uitvoeren, dat deze auditpartij een onafhankelijke en gekwalificeerde
deskundige dient te zijn. Hierbij is het uitgangspunt dat zoveel mogelijk wordt aangesloten
bij de sectorale kaders en de praktijk omtrent, waar mogelijk vergelijkbare, audits.
De auditverplichting kan zien op alle aspecten van de naleving van de Wwke en bepaalde
uitvoeringshandelingen die voortvloeien uit de CER-richtlijn. De audit kan daarbij
betrekking hebben op de gehele entiteit of specifieke processen en verplichtingen
van de entiteit. Daarom is niet op voorhand te zeggen welke eisen door de bevoegde
autoriteit aan de audit worden gesteld, omdat dit samenhangt met het doel en de reikwijdte
van de betreffende audit, evenals de sectorale context.

5.10 Toepassing in Caribisch deel van het Koninkrijk

De leden van de GroenLinks-PvdA-fractie vinden het teleurstellend dat de reikwijdte
van het wetsvoorstel niet strekt over het hele Koninkrijk. Deze leden achten het van
belang dat alle Nederlanders een gelijke mate van veiligheid en weerbaarheid genieten.
Kan de regering toelichten waarom er geen aanvullende maatregelen worden genomen om
het wetsvoorstel, of soortgelijke afspraken, toe te passen op Bonaire, Sint Eustatius
en Saba? Onder welke voorwaarden kan het wetsvoorstel wél van kracht worden in het
Caribisch deel van het Koninkrijk en wat doet de regering eraan om aan die voorwaarden
te voldoen?

De CER-richtlijn is alleen van toepassing op Europees Nederland en niet op Caribisch
Nederland. Conform het principe van comply or explain dient te worden bepaald of en hoe de Wwke van toepassing moet worden verklaard voor
Caribisch Nederland. Het kabinet heeft ervoor gekozen Caribisch Nederland niet direct
te betrekken bij de implementatie van de CER-richtlijn. Zoals in paragraaf 5.10 van
de memorie van toelichting op het wetsvoorstel is aangegeven, is de toepassing van
de Wwke in Caribisch Nederland op dit moment niet uitvoerbaar voor onder meer de openbare
lichamen. Er wordt op dit moment nog uitvoering gegeven aan een aantal randvoorwaarden
voor het versterken van de weerbaarheid in Caribisch Nederland. In het kader van de
Veiligheidsstrategie van het Koninkrijk wordt gewerkt aan het in kaart brengen welke
processen in Caribisch Nederland mogelijk maatschappelijk ontwrichtende effecten hebben,
zodat duidelijk is welke processen betere bescherming behoeven. Het is denkbaar dat
vanuit de uitvoering van deze randvoorwaarden in de toekomst (sectorale) wetgeving
voortvloeit waarmee de bescherming van bepaalde infrastructuur in Caribisch Nederland
tegen fysieke risico’s wordt gewaarborgd. Voor nu komt het volledig van toepassing
verklaren van de Wwke op Caribisch Nederland nog te vroeg.

6. Verhouding tot hoger recht

De leden van de NSC-fractie hebben kennisgenomen van de mogelijkheden tot gegevensverwerking
en gegevensuitwisseling op grond van dit wetsvoorstel. Deze leden begrijpen in algemene
zin de conclusie van de regering dat de verwerking van persoonsgegevens door de vakministers
en de toezichthoudende instantie mogelijk moet kunnen zijn met het oog op het versterken
van de weerbaarheid van kritieke entiteiten en dat de bevoegde autoriteiten noodzakelijke
gegevens moeten kunnen uitwisselen. Kan de regering wel toelichten hoe onnodige gegevensuitwisseling
zo veel mogelijk kan worden voorkomen? Hoe zal dit in de praktijk worden geborgd?
Kan de regering hierbij het principe van «minimale gegevensverwerking» uit artikel 5
van de Algemene verordening gegevensbescherming betrekken?

Het principe van minimale gegevensverwerking, bedoeld in artikel 5 Algemene verordening
gegevensbescherming, houdt onder meer in dat gegevens niet langer worden bewaard dan
nodig is. In artikel 33 Wwke is (onder meer) om die reden een grondslag opgenomen
om bij algemene maatregel van bestuur regels te stellen over de bewaartermijn van
persoonsgegevens. In artikel 19 Bwke is vervolgens bepaald dat persoonsgegevens niet
langer worden bewaard dan noodzakelijk en uiterlijk binnen 60 maanden (120 maanden
voor verwerkingen in het kader van toezicht) na de eerste verwerking worden verwijderd.

Ten overvloede wordt opgemerkt dat voorgenoemde termijnen uiterlijke en daarmee maximale
bewaartermijnen betreffen. Dit laat onverlet dat conform de Wwke, het Bwke en de Algemene
verordening gegevensbescherming de verwerkingsverantwoordelijke de persoonsgegevens
nooit langer dan noodzakelijk voor de taakuitvoering op grond van de wet mag bewaren,
wat korter kan zijn dan de uiterlijk gestelde termijn.

7. Gevolgen

7.1 Gevolgen voor burgers en bedrijven

De leden van de NSC-fractie lezen in de memorie van toelichting dat kritieke entiteiten
die reeds passende en evenredige maatregelen hebben genomen, naar verwachting weinig
tot geen inhoudelijke nalevingskosten zullen ervaren. Kritieke entiteiten die deze
maatregelen (deels) nog niet hebben genomen, kunnen echter een aanzienlijke regeldruk
ervaren bij het implementeren van de zorgplichtmaatregelen, zo lezen deze leden. Kan
de regering toelichten of volgens haar sprake is van realistische eisen die in het
wetsvoorstel aan kritieke entiteiten worden gesteld, binnen de in het wetsvoorstel
gestelde termijnen? En hoe wordt gewaarborgd dat kleine maar kritieke entiteiten niet
disproportioneel worden belast met dure maatregelen?

Zodra een entiteit is aangewezen als kritieke entiteit in de zin van de Wwke, geldt
voor die kritieke entiteit na negen maanden de verplichting om een risicobeoordeling
uit te voeren (artikel 14, derde lid, Wwke). De zorgplicht en de meldplicht gelden
na tien maanden na de aanwijzing als kritieke entiteit (de artikelen 15, vijfde lid,
en 17, zevende lid, Wwke). Hiermee worden kritieke entiteiten in staat gesteld om
zich voor te bereiden op de hiervoor genoemde wettelijke verplichtingen.

In de praktijk zullen veel entiteiten die aangewezen zullen worden als kritieke entiteit
nu al beleidsmatig zijn aangemerkt als vitale aanbieder. Deze partijen zijn reeds
in contact met hun vakminister over het verhogen van hun weerbaarheid. Voor de entiteiten
die niet zijn aangemerkt als vitale aanbieder en die na de inwerkingtreding van de
Wwke worden aangewezen als kritieke entiteit, is de verwachting dat de hiervoor genoemde
negen maanden voorbereidingstijd voor de verplichting tot het uitvoeren van een risicobeoordeling
en tien maanden voor de zorgplicht en de meldplicht, voldoende voorbereidingstijd
zal zijn.

Na uitvoering van het regeldrukonderzoek en de mkb-toets kan geconcludeerd worden
dat de risicogebaseerde aanpak van de Wwke voor kleinere bedrijven ruimte biedt voor
maatwerk. Daarnaast blijkt uit deze onderzoeken ook dat veel bedrijven zich al bewust
zijn van de bijzondere relevantie die zij hebben en de mogelijke dreigingen die daarbij
komen kijken. Veel van de in het kader van die onderzoeken geïnterviewde bedrijven
heeft daarom al beleid op het gebied van de fysieke weerbaarheid van de organisatie
om de continuïteit van de bedrijfsprocessen zoveel mogelijk te borgen.

De leden van de CDA-fractie lezen dat de entiteiten waar onderhavige regeling op van
toepassing is – naar schatting 500 – te maken zullen krijgen met een stijging van
de regeldruk. Deze leden vragen op welke manier de regering voorkomt dat de entiteiten
te maken krijgen met overlappende verplichtingen vanuit het wetsvoorstel, de Cbw en
overige sectorspecifieke regels. Deze leden vragen daarnaast ook of bij het bepalen
van de regeldruk rekening is gehouden met de omvang van de entiteit en wat dat voor
met name de kleinere kritieke entiteiten betekent.

In de systematiek van de Wwke is gekozen voor een risicogebaseerde aanpak en is ervoor
gekozen om de invulling van bepaalde verplichtingen, zoals de vorm van de risicobeoordeling,
bij de kritieke entiteiten zelf te laten. Dit betekent dat kritieke entiteiten ervoor
kunnen kiezen om de invulling van de risicobeoordeling te laten samenvallen met andere
(sectorale) wettelijke verplichtingen. Entiteiten kunnen hierdoor bijvoorbeeld zelf
kiezen welke systematiek of methode ze gebruiken bij het in kaart brengen van hun
risico’s. Hierdoor kunnen entiteiten overlappende verplichtingen onder verschillende
(sectorale) wettelijke kaders, zoals de risicobeoordeling onder de Cbw en de Wwke,
met elkaar combineren waardoor zij minder administratieve handelingen hebben. Doordat
de maatregelen die kritieke entiteiten in het kader van de zorgplicht moeten nemen,
passend en evenredig moeten zijn, kunnen kleinere entiteiten de afweging maken tussen
de risico’s die zij geïdentificeerd hebben voor het verlenen van hun essentiële dienst
en bijvoorbeeld de grootte van het bedrijf. Ook is bij de implementatie van de CER-richtlijn
gekozen voor een decentrale inrichting van het systeem, waarbij de bevoegde autoriteit
voor elke sector onder de Wwke de vakminister is die beleidsverantwoordelijkheid draagt
voor deze sector. Daardoor wordt geborgd dat de meeste kennis over sectorale wet-
en regelgeving meegewogen wordt in de uitwerking van bijvoorbeeld de zorgplicht en
de drempelwaarden in lagere regelgeving.

8. Advies en consultatie

8.1 Advies AP

De leden van de NSC-fractie hebben kennisgenomen van het advies van de Autoriteit
Persoonsgegevens (hierna: AP), waarin de AP concludeert dat uit het wetsvoorstel niet
blijkt welke persoonsgegevens uitgewisseld kunnen worden in het kader van de samenwerking
tussen verschillende instanties. Ook ontbreekt een dwingende delegatiegrondslag om
dit in nadere regelgeving te bepalen, terwijl dit volgens de AP wel noodzakelijk is.
Deze leden lezen dat de regering het advies niet opvolgt, omdat niet op voorhand duidelijk
is welke persoonsgegevens verwerkt zullen gaan worden. Als op voorhand bepaalde categorieën
persoonsgegevens limitatief worden opgesomd, kan dit volgens de regering de instanties
belemmeren in hun taakuitoefening. Deze leden kunnen zich vinden in het advies van
de AP. Is de regering bereid om, als tussenoplossing, in het wetsvoorstel wel een
delegatiegrondslag op te nemen, zodat in een later stadium nog lagere regels kunnen
worden opgesteld hieromtrent?

De regering houdt vast aan de noodzaak om niet op voorhand bepaalde categorieën van
persoonsgegevens limitatief op te sommen. Het is immers niet op voorhand duidelijk
welke persoonsgegevens in het kader van de uitoefening van de taken uit de Wwke verwerkt
zullen worden. Als op voorhand bepaalde categorieën van persoonsgegevens limitatief
moeten worden opgesomd, kan dit de verschillende instanties belemmeren in hun taakuitoefening.
Door die belemmering kunnen de doelen van de Wwke in het geding komen.

8.2 Advies ATR

De leden van de VVD-fractie lezen dat het ATR11 waarschuwt voor een toename van onnodige regeldruk en administratieve lasten door
het wetsvoorstel. Hoe beoordeelt de regering deze kritiek en welke maatregelen worden
overwogen om de onnodige regeldruk en administratieve lasten voor bedrijven te verminderen
zonder afbreuk te doen aan de effectiviteit van het wetsvoorstel?

Bij het vormgeven van dit wetsvoorstel is nadrukkelijk oog geweest voor de administratieve
lasten die bedrijven zullen ondervinden als gevolg van de Wwke, ook vanuit andere
(sectorale) wettelijke kaders. Mede hierom is in de systematiek van de Wwke gekozen
voor een risicogebaseerde aanpak en is ervoor gekozen om de invulling van bepaalde
verplichtingen, zoals de vorm van de risicobeoordeling, bij de kritieke entiteiten
zelf te laten. Dit betekent dat kritieke entiteiten ervoor kunnen kiezen om de invulling
van de risicobeoordeling te laten samenvallen met andere (sectorale) wettelijke verplichtingen.
Bedrijven die worden aangewezen als kritieke entiteit kunnen hierdoor bijvoorbeeld
zelf kiezen welke systematiek of methode ze gebruiken bij het in kaart brengen van
hun risico’s. Hierdoor kunnen deze bedrijven overlappende verplichtingen onder verschillende
(sectorale) wettelijke kaders, zoals de verplichting tot het uitvoeren van de risicobeoordeling
onder de Cbw en onder de Wwke, met elkaar combineren waardoor zij minder administratieve
handelingen hebben.

De regering heeft kennisgenomen van de punten van het Adviescollege toetsing regeldruk
(ATR) en heeft daar in de uitwerking van het Bwke expliciet rekening mee gehouden.
De regeldruk die bedrijven, die worden aangewezen als kritieke entiteit, door de Wwke
ervaren is alleen van toepassing op die bedrijven die een dergelijke cruciale rol
in de continuïteit van de Nederlandse samenleving spelen, en wordt daarom door de
regering proportioneel geacht. In het algemeen beschouwt de regering daarom dat de
ervaren administratieve lasten in verhouding staan tot de eventuele incidenten die
met deze maatregelen voorkomen of gemitigeerd kunnen worden.

II. Artikelsgewijze toelichting

Artikel 7 (aanwijzing sector, subsector en categorie van entiteiten)

De leden van de NSC-fractie lezen dat de lijst van essentiële diensten in de richtlijn
niet uitputtend is en dat lidstaten de lijst kunnen aanvullen met andere essentiële
diensten op nationaal niveau. Kan de regering aangeven of de sectoren «telecommunicatie»
en «afvalinzameling en -verwerking» onder de wet vallen? Zo ja, kan de regering toelichten
via welke weg en, zo nee, kan de regering toelichten waarom niet en is zij voornemens
dit te heroverwegen?

De Wwke is van toepassing op kritieke entiteiten in de sector digitale infrastructuur.
Onder deze sector vallen onder meer aanbieders van openbare elektronische communicatienetwerken
en aanbieders van elektronische communicatiediensten. De regering verwijst hierbij
naar de opname van deze sector en aanbieders in de bijlage van de Wwke.

De bijlage van de Wwke bevat niet de sector afvalinzameling en -verwerking, omdat
de CER-richtlijn hier niet in voorziet. Dit betekent dus ook dat de Wwke niet van
toepassing is op deze sector. Wel kan de Minister die beleidsverantwoordelijk is voor
deze sector, te weten de Minister van Infrastructuur en Waterstaat, op grond van artikel 7,
eerste lid, Wwke deze sector aanwijzen waarbinnen kritieke entiteiten kunnen worden
aangewezen. Er loopt momenteel een verkenning om te bepalen of de sector afvalstoffenbeheer
toegevoegd zal worden als sector onder de Wwke.

III. Overig

De leden van de VVD-fractie vragen in hoeverre bestuurders van kritieke entiteiten
hoofdelijk aansprakelijk kunnen worden gesteld bij het niet-naleven van verplichtingen
uit het wetsvoorstel. Bestaat er een mogelijkheid dat bestuurders persoonlijk aansprakelijk
worden gehouden in het geval van nalatigheid of onvoldoende zorgplicht met betrekking
tot de weerbaarheid van de entiteit? En, zo ja, op basis van welke wettelijke bepalingen
zou dit kunnen plaatsvinden en hoe verhoudt zich dit tot bestaande aansprakelijkheidsregimes
in het bestuurs- en civiel recht?

In dit verband benadrukt de regering allereerst dat het wetsvoorstel niet voorziet
in nieuwe regels over de aansprakelijkheid van leden van het bestuur voor de naleving
van de verplichtingen uit het wetsvoorstel. Het bestaande aansprakelijkheidsregime
(zowel bestuurs- als civielrechtelijk) is dan ook onverkort van toepassing en wordt
hierna nader toegelicht.

In artikel 5:1, eerste lid, Algemene wet bestuursrecht (hierna: Awb) is bepaald dat
in de Awb wordt verstaan onder een overtreding: een gedraging die in strijd is met
het bepaalde bij of krachtens enig wettelijk voorschrift. In artikel 5:1, tweede lid,
Awb is bepaald dat onder overtreder wordt verstaan: degene die de overtreding pleegt
of medepleegt. Artikel 5:1, derde lid, Awb bepaalt dat overtredingen kunnen worden
begaan door natuurlijke personen en rechtspersonen en dat artikel 51, tweede en derde
lid, Wetboek van Strafrecht van overeenkomstige toepassing is. Artikel 51, tweede
lid, Wetboek van Strafrecht bepaalt dat indien een strafbaar feit wordt begaan door
een rechtspersoon, de strafvervolging kan worden ingesteld en de in de wet voorziene
straffen en maatregelen kunnen worden uitgesproken tegen die rechtspersoon, dan wel
tegen de opdrachtgever of feitelijk leidinggevende, dan wel tegen de hiervoor genoemden
tezamen. In artikel 51, derde lid, Wetboek van Strafrecht wordt voor de toepassing
van het tweede lid met de rechtspersonen gelijkgesteld: de vennootschap zonder rechtspersoonlijkheid,
de maatschap, de rederij en het doelvermogen.

Door de schakelbepaling in artikel 5:1, derde lid, Awb is het mogelijk om in het geval
dat een overtreding is gepleegd of medegepleegd door een rechtspersoon, een bestuurlijke
boete of een last onder bestuursdwang of dwangsom op te leggen aan degenen die tot
de door de rechtspersoon begane overtreding opdracht hebben gegeven of daaraan feitelijk
leiding hebben gegeven. De bevoegde autoriteit kan bij een overtreding van een verplichting
uit de Wwke dus handhavend optreden tegen de entiteit die de overtreding begaat, maar
ook tegen degenen die worden aangemerkt als opdrachtgever van de door de entiteit
begane overtreding en degenen die feitelijke leiding hebben gegeven aan de verboden
gedraging.12 Dit kunnen zowel natuurlijke personen als rechtspersonen zijn. Meer specifiek kan
het in het eerste geval gaan om een bestuurder van een entiteit. Bij het laatste geval
kan bijvoorbeeld gedacht worden aan een moedermaatschappij die als feitelijke leidinggevende
of opdrachtgever kwalificeert van een overtreding bij een dochteronderneming.

Voor wat betreft de aansprakelijkheid van bestuurders wordt voorts gewezen op artikel 2:9
Burgerlijk Wetboek. In dit artikel is onder meer bepaald dat elke bestuurder tegenover
de rechtspersoon gehouden is tot een behoorlijke vervulling van zijn taak (eerste
lid), dat elke bestuurder de verantwoordelijkheid voor de algemene gang van zaken
draagt en dat een bestuurder voor het geheel aansprakelijk is voor onbehoorlijk bestuur,
tenzij – kort gezegd – hem geen verwijt kan worden gemaakt en hij niet nalatig is
geweest (tweede lid).

De leden van de VVD-fractie lezen verder dat Ministers de bevoegdheid krijgen om bedrijven
te verplichten leveranciers uit risicolanden te weren of producten van hen te verwijderen.
Zij vragen welke wettelijke waarborgen en criteria worden ingebouwd om te voorkomen
dat bijvoorbeeld de continuïteit van essentiële diensten in gevaar komt.

De in artikel 13, eerste lid, Bwke opgenomen bevoegdheid kan door de vakminister alleen
worden ingezet als hij van oordeel is dat dat noodzakelijk is om incidenten bij een
kritieke entiteit die de nationale veiligheid raken te voorkomen, te beperken of te
beheersen. De bevoegdheid ziet dus nadrukkelijk op het voorkomen, beperken of beheersen
van incidenten die de nationale veiligheid raken. De vakminister kan geen gebruik
maken van de bevoegdheid als er geen sprake is van het mogelijk raken van de nationale
veiligheid.

Met betrekking tot de continuïteit wijst de regering op het volgende. Het zal voor
een kritieke entiteit niet altijd mogelijk zijn om per direct gevolg te geven aan
de op grond van artikel 13, eerste lid, Bwke op te leggen verplichting, zonder hiermee
de continuïteit van de essentiële dienst in gevaar te brengen, als de entiteit de
in de beschikking genoemde producten of diensten van een specifieke leverancier nog
in gebruik heeft. In zo’n geval zal de vakminister op grond van artikel 13, tweede
lid, Bwke, in het belang van de continuïteit van de essentiële dienstverlening, in
de beschikking een termijn opnemen voor de vervanging of beëindiging van die in gebruik
zijnde producten of diensten.

De leden van de NSC-fractie wijzen op de aangenomen motie-Six Dijkstra over zonnepanelen,
omvormers, laadpalen en warmtepompen niet door buitenlandse leveranciers aan en uit
laten zetten (Kamerstuk 30 821, nr. 288). In deze motie werd de regering verzocht in wetgeving expliciet op te nemen dat
zonnepanelen, omvormers, laadpalen, warmtepompen en vergelijkbare (consumenten)apparatuur
niet door leveranciers uit het buitenland aan- en uitgezet mogen kunnen worden. Kan
de regering toelichten hoe en wanneer aan deze motie uitvoering zal worden gegeven
en of onderhavig wetsvoorstel dit (deels) regelt?

Kritieke entiteiten in de zin van de Wwke zijn van rechtswege ook essentiële entiteit
in de zin van de Cbw. Dit is geregeld in artikel 8, eerste lid, onderdeel i, Cbw.
Dit heeft tot gevolg dat alle kritieke entiteiten vanwege hun kwalificatie als essentiële
entiteit in de zin van de Cbw op basis van een risicogebaseerde aanpak ook moeten
zorgen voor de beveiliging van hun netwerk- en informatiesystemen. Bij het overwegen
van passende en evenredige maatregelen moeten zij rekening houden met de specifieke
kwetsbaarheden van hun rechtstreekse leveranciers en dienstverleners en met de algemene
kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers
en dienstverleners.

Op de Europese markt is het al verboden om (heimelijk) functionaliteit in te bouwen
(zowel software en hardware) die niet in de technische documentatie is beschreven.
Mochten er concrete risico’s zijn met betrekking tot bepaalde producten of diensten,
dan kan de vakminister ingrijpen. In zowel het Bwke (artikel 13) als het Cyberbeveiligingsbesluit
(artikel 18) is namelijk een bevoegdheid voor de vakministers opgenomen om in het
kader van de zorgplicht in bepaalde gevallen, en als laatste redmiddel, bedrijven
te kunnen verplichten specifieke producten en diensten van specifieke leveranciers
te weren.

Uw Kamer zal binnenkort worden geïnformeerd over de uitvoering van de in de vraagstelling
genoemde motie van het lid Six Dijkstra.

De leden van de NSC-fractie vragen de regering toe te lichten op welke wijze de communicatie
en voorlichting omtrent het wetsvoorstel is vormgegeven. Op welke wijze is geborgd
dat entiteiten vroegtijdig op de hoogte zijn van verplichtingen die mogelijk in een
later stadium voor hen zullen gaan gelden?

In het traject van de implementatie van de CER-richtlijn in nationale wet- en regelgeving
is continu oog voor de communicatie met partijen die mogelijk als kritieke entiteit
in de zin van de Wwke aangewezen zullen worden. Zo is er in een vroegtijdig stadium
uitgebreide informatie op de website van de NCTV geplaatst, is er een informatiefilmpje
ontwikkeld waarin de rechten en plichten van een kritieke entiteit worden uitgelegd,
worden netwerkbijeenkomsten georganiseerd en is er via werkgeversorganisaties en brancheverenigingen
voorlichting, inspraak en contact geweest. Ook worden vakministers aangemoedigd om
in hun communicatie naar de huidige vitale aanbieders stil te staan bij een mogelijke
aanwijzing als kritieke entiteit onder de Wwke nadat de Wwke in werking is getreden.

De leden van de NSC-fractie zien dat de Afdeling aandacht heeft gevraagd voor de vraag
of het toezicht op de sector «overheid» wel in voldoende mate onafhankelijk is, aangezien
de Minister van Binnenlandse Zaken en Koninkrijksrelaties voor die sector de bevoegde
autoriteit is. De regering gaf aan dat het toezicht op de sector «overheid» inderdaad
voorzien moet zijn van de nodige waarborgen om voldoende onafhankelijkheid te garanderen.
Deze leden lezen dat de regering zou gaan onderzoeken welke maatregelen getroffen
moeten worden om het gewenste niveau van onafhankelijkheid te waarborgen. Kan de regering
inmiddels aangeven wat de uitkomsten zijn van dit onderzoek? Zo nee, wanneer kan de
Kamer deze ontvangen?

In de komende maanden zal het toezicht op kritieke entiteiten in de sector overheid
nader worden uitgewerkt. Daarbij zal nadrukkelijk aandacht zijn voor het borgen van
de onafhankelijkheid van dat toezicht. De verwachting is dat uw Kamer in het eerste
kwartaal van 2026 kan worden geïnformeerd over de maatregelen die zorgen voor het
in voldoende mate borgen van de onafhankelijkheid van dat toezicht.

De Minister van Justitie en Veiligheid, F. van Oosten